Windows 2000’de Auditing (İzleme)

• Auditing of acess to system (Sisteme girişi izleme): Windows 2000’e girişi izleme
• Auditing of access to objects (Sistem objelerine erişimi izleme): Windows 2000 içindeki

• Sisteme giriş Audit Policy kullanılarak izlenir
• Lokal bilgisayarda izleme politikası kullanmak için;

• Domain’deki tüm Windows 2000 bilgisayarlar ait bir izleme politikası kullanmak için;

• Domain bazında Auditing kullanılabilmesi için Default Domain Controllers Policy’nin ayarlanması gerekir. Yani tüm bilgisayarlarda auditing açık ama DC politikasında kapalı ise Auditing çalışmaz.
• Domain’deki tüm DC’ler için bir izleme politikası kullanmak için;

Start > Programs > Administrative Tools  > Domain Controller Security PolicyBelli bir OU veya domain içindeki tüm W2K bilgisayarlar için izleme politikası kullanmak için AD Users & Computer snap-in’i ile belli OU veya domainde GPO yaratılır.

• Belli bir site içindeki tüm W2K bilgisayarlar için izleme politikası kullanmak için AD Sites & Services snap-in’i ile belli sitede GPO yaratılır.

• Audit politikası diğer W2K politikaları gibi bir çok seviyede uygulanabilir. Seviyeler arası çakışmalarda en son uygulanan politikanın geçerli olma kuralı geçerlidir
• Audit Politikası içindeki politikalardan her hangi biri seçildiğinde üç seçenek vardır:
  • Success: Belirlenen durum başarıyla gerçekleştiğinde W2K bir izleme kaydı yaratır. (ör.Bir user sisteme başarıyla logon olduğunda)
  • Failure: Belirlenen durum başarıyla gerçekleşmediğinde W2K bir izleme kaydı yaratır. (ör.Sisteme logon başarısız olduğunda)
  • Success ve Failure birarada: Her iki koşulda da kayıt yaratılır.
• Auditing sisteme yük getirdiğinden audit edilecek olaylar dikkatli seçilmelidir.

• Objeler üstündeki spesifik izleme için, directory service access veya object access audit policy izlenecek objenin bulunduğu W2K bilgisayar üstünde açılmalıdır.
• Daha sonra objeye ait özellikler penceresinden izleme açılmalıdır.
• Auditing işlemi AD içindeki objeler üstünde uygulandığında INHERITANCE faktöründen etkilenir. Domain bazlı varsayılan izleme politikası yaratıldığında domain içindeki tüm objeler bundan etkilenir.
• AD objeleri için auditing ayarları yapmak için; objeye ait özellikler penceresinden;

• Dosyalar,Klasörler ve Yazıcılar’a auditing uygulamak için ise;

• Yazıcılar için auditing ise seçilen yazıcının özellikler penceresinden;

• Yazıcılar için inheritance(miras)’ı hesaba katmaya gerek yoktur. Klasör-dosya ve yazıcılar için “apply on to “ özelliğiyle auditing ile ilgili ayrıntılı ayarlar yapılabilir.

• Güvenlik ile ilgili sistem olayları Event Viewer kullanılarak izlenir.
• Event Viewer, 3 ana çeşit varsayılan log tutar:
  • Application Log: MS SQL gibi bir veritabanına erişimdeki başarı ve başarısızlık gibi olaylar tarafından loglara kaydedilen bilgiler yer alır.
  • Security Log: Yerel ya da global gruplar ile ilgili izleme düzenlemelerinin yapıldığı kısımdır. Manage Auditing & Security Log hakkı olan kullanıcılar tarafından erişilebilir
  • System Log: İşletim sistemleri ve bileşenleri tarafından yapılan kayıtlardır
  • Bunlar dışında ayrıca, DNS ile ilgili kayıtları tutan DNS Server Log, replikasyonla ilgili kayıtları tutan File Replication Service Log ve AD ile ilgili kayıtların tutulduğu Directory Service Log bulunur

• Varsayılan olarak loglar %systemrot%\system32\config klasöründe bulunur
• Security log istenildiğinde silinebilir veya arşivlenmek üzere kayıt edilebilir.
• Security log altında security events 2 şekilde görünür.Yanındaki anahtar sembolü olan log kayıtları SUCCESSFUL, yanında kilit sembolü olan log kayıtları ise FAILED olayları gösterir. Olay üstüne çift tıklanarak ayrıntılı olay hakkında ayrıntılı bilgi alınabilir.
• Yüzlerce log kaydı arasında aradıklarımızı kolay bulabilmemiz için FILTERING denilen işlem yapılır. “Security Log” üstünde sağ tıklanarak Properties penceresine ulaşılır ve daha sonra Filter tabı seçilir.
• Security logları arşivlemek için; ”Security Log” seçilir sağ tıklanarak, Select Action   Save Log File as seçilir. Desteklenen formatlar, evt, txt ve csv dir.
• Logların bulunduğu sağ pencerede sağ tıklanarak Clear opsiyonu ile loglar silinebilir
• Security Log lar ile ilgili diğer ayarlar ise Security Log Properties den yapılabilir. Maksimum log boyutu ve olayların üstüne yazma zamanları burdan belirlenebilir.

• Daha önceden belirlenmiş güvenlik ayarlarının kayıt edildiği txt bazlı, inf uzantılı dosyalara security template adı verilir.
• Güvenlik şablonları Security Templates snap-in’i ile değiştirilebilir. Bu işlemi gerçekleştirebilmek için Administrator grubuna üye olmak gerekir.
• SystemRoot\Security\Templates altında Microsoft tarafından belirlenmiş şablonlar bulunur.
  • Default workstation (basicwk.inf)
  • Default server (basicsv.inf)
  • Default domain controller (basicdc.inf)
  • Compatible workstation or server (compatws.inf)
  • Secure workstation or server (securews.inf)
  • Highly secure workstation or server (hisecws.inf)
  • Secure domain controller (securedc.inf)
  • Highly secure domain controller (hisecdc.inf)
• Security Template snap-in’i yüklenmiş bir konsoldan varolan şablonları değiştirerek yada yeni bir şablon üretilerek, security template’ler oluşturulabilir.
• Security Template iki şekilde uygulanabilir:
  • Local Security Policy kullanılarak (Administrative Tools) IMPORT komutu ile lokal bilgisayara şablon yüklenebilir.
  • GPO’ya yüklenebilir: GPO’ya çift tıklanarak, GPO’nun Computer Configuration  Windows Settings Security Settings containerı üstünde Action Import Policy yapılarak GPO ya yüklenir. GPO’nun etkilediği tüm bilgisayarların bu şablondan etkileneceği unutulmamalıdır.

• Administrators grubu üyeleri tarafından kullanılabilir
• Güvenlik ayarlarının karşılaştırılması ve lokal bilgisayar üstündeki güvenlik ayarlarının uygulamaları için kullanılır.
• Bu snap-in’in kullanılabilmesi için öncelikle bir veritabanı (database) oluşturulması gerekir. Snap-in tıklanarak Action > Open Database.> Import Template dialog box ile bu veritabanına bir şablon atanır.
• Veritabanı yaratıldıktan sonra Action Analyse Computer Now komutu ile bilgisayar analizi yapılır.
• X işaretli kayıtlar uyumsuzlukları, . işaretli kayıtlar ise uyumluluğu gösterir.
• Action > Configure Computer Now seçeneği ile de database’deki şablon bilgisayara atanır
• Bu işlem secedit.exe ile de yapılabilir.

• Performance Monitor (PM) kullanılarak izlenir
• Performance monitor görüntülemek istediğiniz bir dizi başarım parametresine ilişkin istatistikleri grafik olarak gösterir
• Bu başarım parametrelerine COUNTER denir
• PM deki System Monitor girişini kullanarak sayaçlar ekleyebilir ve onları grafik üstünde izleyebilirsiniz
• Sayaçları eklemek için Add(+) düğmesi kullanılır
• PM ile lokal veya ağ üstündeki bilgisayarların başarımı izlenebilir
• Add Counters penceresindeki Performance Object ile Counter’ların gruplandığı nesne grupları seçilir
• Bir sunucunun başarımın izlemek ve daha sonra yeniden oynatmak için başarım günlükleri kullanılır
• 2 çeşit başarım günlüğü vardır:
  • Counter Logs: Belirtilen güncelleme aralığı dolduğunda seçilen sayaçlar üstündeki başarım verisini kaydeder
  • Trace Logs: Başarım verisini, ilgili olay olduğunda kaydederler.
• Trace log 2 çeşit log üretir:
  • Sequential Trace File: Olayları ardışık olarak yazar
  • Circular: Dosya belirtilen sınıra eriştiğinde eski verileri yenilerin üstüne yazar
• Alerts girişi ile de başarım sayaçları için uyarılar yapılandırabilirsiniz.
• Log files sekmesiyle, günlük dosyasının yeri, adı ve tipi ayarlanır.
• Action tabı ile alert anında yürütülecek olayları, Schedule tabı ile de logların ne zaman başlayıp ne zaman duracağını ayarlayabilirsiniz

• Objeler için auditing kullanıyorsanız, kullandığınız objeye uygun system auditing’i “enable” edip etmediğinizi kontrol edin.
• Failure ve Success durumlarının doğru kullanılıp kullanılmadığından emin olun.
• Efektif auditing ayarının GPO larda olduğu gibi en son uygulananın üstünde olduğuna dikkat edin Security Configuration and Analysis snap-in ile değişime uğramış güvenlik (security settings) ayarlarını eski hallerine döndürebilirsiniz.